すべてのプロダクト
Search

このプロダクト

    NAT Gateway:データセンターと VPC を接続するために VPC NAT ゲートウェイと Express Connect 回線を使用する

    ドキュメントセンター

    NAT Gateway:データセンターと VPC を接続するために VPC NAT ゲートウェイと Express Connect 回線を使用する

    最終更新日:Mar 07, 2025

    このトピックでは、仮想プライベートクラウド (VPC) NAT ゲートウェイの SNAT 機能と DNAT 機能、および Express Connect 回線を使用して、データセンターと VPC が静的プライベート IP アドレスを使用して相互に通信できるようにする方法について説明します。

    使用シナリオの例

    次の図は、使用シナリオを示しています。企業は、中国 (上海) リージョンに VPC と vSwitch を作成しました。Elastic Compute Service (ECS) インスタンスは、vSwitch にデプロイされています。企業のデータセンターは、仮想ボーダールーター (VBR) と Express Connect 回線を介して Alibaba Cloud に接続されています。VPC は、Cloud Enterprise Network (CEN) を使用してデータセンターと通信できます。企業は、VPC 内の ECS インスタンスが静的プライベート IP アドレスを使用してデータセンターと通信することを求めています。

    上記の要件は、VPC NAT ゲートウェイの DNAT 機能と SNAT 機能を使用して満たすことができます。次の表は、この例でのネットワークの計画方法を示しています。ビジネス要件に基づいて CIDR ブロックを計画できます。CIDR ブロックが互いに重複していないことを確認してください。

    パラメーター

    IP アドレス/CIDR ブロック

    VPC1 CIDR ブロック

    192.168.0.0/16

    vSwitch CIDR ブロック

    • VSW1: 192.168.10.0/24

    • VSW2: 192.168.20.0/24

    • NATVSW: 192.168.3.0/24

    ECS インスタンスの IP アドレス

    • ECS1: 192.168.10.55

    • ECS2: 192.168.20.30

    データセンター CIDR ブロック

    172.16.0.0/12

    データセンター内のサーバーの IP アドレス

    172.16.10.137

    ピア IP アドレス

    • VBR: 10.0.0.2/30

    • データセンター: 10.0.0.1/30

    前提条件

    • VPC1 という名前の VPC が中国 (上海) リージョンに作成され、VSW1 と VSW2 という名前の 2 つの vSwitch が VPC1 に作成されています。VSW1 はゾーン F にデプロイされ、VSW2 はゾーン G にデプロイされています。詳細については、「VPC の作成と管理」をご参照ください。

      説明

      Enterprise Edition 転送ルーターを VPC に接続する前に、VPC に Enterprise Edition 転送ルーターをサポートするゾーンに少なくとも 1 つの vSwitch があることを確認してください。 vSwitch には、少なくとも 1 つのアイドル IP アドレスが必要です。この例では、転送ルーターは中国 (上海) リージョンに作成されます。上海ゾーン F と上海ゾーン G は、Enterprise Edition 転送ルーターをサポートしています。

    • NATVSW という名前の転送 vSwitch が VPC1 に作成されています。NATVSW はゾーン H にデプロイされています。

    • ECS1 と ECS2 という名前の 2 つの ECS インスタンスが VSW1 と VSW2 に作成されています。アプリケーションは ECS1 と ECS2 にデプロイされています。詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。

    • Express Connect 回線と VBR が中国 (上海) リージョンに作成されています。詳細については、「クラシックモード」および「VBR の作成と管理」をご参照ください。

    • CEN インスタンスが作成されています。詳細については、「CEN インスタンスの作成」をご参照ください。

    • Enterprise Edition 転送ルーターが、VPC が存在するリージョンに作成されています。詳細については、「転送ルーター」をご参照ください。

    手順

    步骤

    手順 1: 転送ルーターを VPC と VBR に接続する

    中国 (上海) リージョンの転送ルーターを、データセンターに接続する VPC に接続します。次に、転送ルーターを Express Connect 回線に関連付けられている VBR に接続します。これにより、VPC とデータセンターは相互に通信できます。

    1. CEN コンソール にログインします。

    2. インスタンス ページで、管理する CEN インスタンスの ID をクリックします。

    3. [基本設定] > [転送ルーター] タブで、管理する転送ルーターを見つけて、[接続の作成] 列の [アクション] をクリックします。

    4. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックします。

      説明

      この操作を初めて実行すると、システムは自動的に AliyunServiceRoleForCEN という名前のサービスロールを作成します。このロールにより、転送ルーターは VPC の vSwitch に ENI を作成できます。詳細については、「AliyunServiceRoleForCEN」をご参照ください。

      パラメーター

      説明

      [インスタンスタイプ]

      ネットワークインスタンスのタイプ。

      この例では、[VPC] が選択されています。

      [リージョン]

      VPC がデプロイされているリージョン。

      この例では、[中国 (上海)] が選択されています。

      [転送ルーター]

      システムは、選択したリージョンの転送ルーターを自動的に表示します。

      [リソースオーナー ID]

      VPC が属する Alibaba Cloud アカウント。

      この例では、[現在のアカウント] が選択されています。

      [課金方法]

      デフォルトでは、転送ルーターは従量課金制を使用します。

      詳細については、「請求ルール」をご参照ください。

      [ネットワークインスタンス]

      VPC の ID。

      この例では、作成した VPC が選択されています。

      [vswitch]

      転送ルーターでサポートされているゾーンで、少なくとも 2 つの vSwitch を選択します。

      [詳細設定]

      デフォルトでは、次の機能が選択されています。[転送ルーターのデフォルトルートテーブルに自動的に関連付ける][システムルートを転送ルーターのデフォルトルートテーブルに自動的にアドバタイズする]、および [転送ルーターを指すルートを VPC のすべてのルートテーブルに自動的に追加する]

      この例では、デフォルト設定が使用されています。

    5. [ピアネットワークインスタンスとの接続] ページで、[さらに接続を作成] をクリックします。

    6. [ピアネットワークインスタンスとの接続] ページで、次のパラメーターを設定し、[OK] をクリックして VBR1 の接続を作成します。

      パラメーター

      説明

      [インスタンスタイプ]

      ネットワークインスタンスのタイプ。この例では、[仮想ボーダールーター (VBR)] が選択されています。

      [リージョン]

      VBR がデプロイされているリージョン。

      この例では、[中国 (上海)] が選択されています。

      [転送ルーター]

      システムは、選択したリージョンの転送ルーターを自動的に表示します。

      [リソースオーナー ID]

      VBR が属する Alibaba Cloud アカウント。

      この例では、[現在のアカウント] が選択されています。

      [ネットワークインスタンス]

      VBR の ID。

      この例では、VBR1 が選択されています。

      [詳細設定]

      デフォルトでは、次の詳細機能が有効になっています。[転送ルーターのデフォルトルートテーブルに関連付ける][システムルートを転送ルーターのデフォルトルートテーブルに伝達する]、および [ルートを VBR に伝達する]

      この例では、デフォルト設定が使用されています。

      接続が作成された後、VBR 詳細ページの [リージョン内接続] タブで接続の詳細を表示できます。詳細については、「ネットワークインスタンス接続を表示する」をご参照ください。

    手順 2: VBR ルートを設定する

    データセンターを指すルートを VBR に追加します。

    1. Express Connect コンソール にログインします。

    2. 上部のナビゲーションバーで、VBR を作成するリージョンを選択します。次に、左側のナビゲーションウィンドウで、[仮想ボーダールーター (VBR)] をクリックします。

    3. [仮想ボーダールーター (VBR)] ページで、管理する VBR の OD をクリックします。

    4. VBR の詳細ページで、[ルート] タブをクリックし、[ルートの追加] をクリックします。

    5. [ルートの追加] パネルで、パラメーターを設定し、[OK] をクリックします。次の表でパラメーターについて説明します。

      パラメーター

      説明

      [ネクストホップタイプ]

      ネクストホップタイプを選択します。この例では、[物理接続インターフェイス] が選択されています。

      [宛先 CIDR ブロック]

      この例では、172.16.10.137 が使用されています。これは、データセンター内のサーバーの IP アドレスです。

      [ネクストホップ]

      Express Connect 回線を選択します。

    手順 3: VPC NAT ゲートウェイを作成する

    1. NAT ゲートウェイコンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[NAT ゲートウェイ] > VPC NAT ゲートウェイ を選択します。

    3. VPC NAT ゲートウェイ ページで、VPC NAT Gateway の作成 をクリックします。

    4. [VPC NAT ゲートウェイ (従量課金)] ページで、次のパラメーターを設定し、[今すぐ購入] をクリックします。

      パラメーター

      説明

      [リージョン]

      VPC NAT ゲートウェイを作成するリージョンを選択します。この例では、[中国 (上海)] が選択されています。

      [VPC ID]

      VPC NAT ゲートウェイが属する VPC を選択します。VPC NAT ゲートウェイを作成した後、VPC NAT ゲートウェイが属する VPC を変更することはできません。この例では、VPC1 が選択されています。

      [ゾーン]

      VPC NAT ゲートウェイが属するゾーンを選択します。この例では、NATVSW がデプロイされているゾーンである [ゾーン H] が選択されています。

      [vswitch ID]

      VPC NAT ゲートウェイが属する vSwitch を選択します。この例では、NATVSW が選択されています。

      [名前]

      VPC NAT ゲートウェイの名前を入力します。

      名前は 1 ~ 128 文字の長さでなければなりません。この例では、VPC_NATGW が使用されています。

      [サービスロール]

      VPC NAT ゲートウェイ用にサービスロールが作成されているかどうかを表示します。

      インターネット NAT ゲートウェイまたは VPC NAT ゲートウェイを初めて使用する場合は、[サービスロールの作成] をクリックしてサービスロールを作成する必要があります。

    5. [注文の確認] ページで、情報を確認し、サービス規約 を選択して、[今すぐ有効化] をクリックします。

      [注文完了。] というメッセージが表示されたら、VPC NAT ゲートウェイが作成されたことを示します。

    手順 4: VPC1 のシステムルートテーブルにルートを追加する

    VPC1 のシステムルートテーブルにルートを追加します。ルートは VPC NAT ゲートウェイを指している必要があります。

    1. VPC コンソール にログインします。

    2. [VPC] ページで、VPC1 を見つけて ID をクリックします。

    3. 詳細ページで、[リソース管理] タブをクリックし、[ルートテーブル] の下の数字をクリックします。

    4. [ルートテーブル] ページで、[ルートテーブルタイプ][システム] であるルートテーブルを見つけて、その ID をクリックします。

    5. ルートテーブルの詳細ページで、[ルートエントリリスト] > [カスタムルート] を選択し、[ルートエントリの追加] をクリックします。

    6. [ルートエントリの追加] パネルで、パラメーターを設定し、[OK] をクリックします。次の表でパラメーターについて説明します。

      パラメーター

      説明

      [名前]

      ルートの名前を入力します。この例では、VPCENTRY が使用されています。

      [宛先 CIDR ブロック]

      宛先 CIDR ブロックを入力します。この例では、172.16.10.137 が使用されています。これは、データセンター内のサーバーの IP アドレスです。

      [ネクストホップタイプ]

      ネクストホップタイプを選択します。この例では、[NAT ゲートウェイ] が選択されています。

      [NAT ゲートウェイ]

      NAT ゲートウェイを選択します。この例では、VPC NAT ゲートウェイが選択されています。

    手順 5: カスタムルートテーブルを作成し、ルートを追加する

    NATVSW のカスタムルートテーブルを作成し、転送ルーターを指すルートを追加します。

    カスタムルートテーブルをサポートするリージョンについては、「ルートテーブル」をご参照ください。

    1. VPC コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ルートテーブル] をクリックします。

    3. 上部のナビゲーションバーで、ルートテーブルが属するリージョンを選択します。

    4. 次の操作を実行して、カスタムルートテーブルを作成し、ルートテーブルを NATVSW に関連付けます。

      1. [ルートテーブル] ページで、[ルートテーブルの作成] をクリックします。

      2. [ルートテーブルの作成] ページで、次のパラメーターを設定し、[OK] をクリックします。

        パラメーター

        説明

        [リソースグループ]

        ルートテーブルが属するリソースグループを選択します。この例では、[すべて] が選択されています。

        [VPC]

        ルートテーブルが属する VPC を選択します。この例では、VPC1 が選択されています。

        [名前]

        ルートテーブルの名前を入力します。この例では、NATVTB が使用されています。

        [説明]

        ルートテーブルの説明を入力します。この例では、カスタム が使用されています。

      3. [関連付けられた Vswitch] タブをクリックし、[vswitch の関連付け] をクリックします。

      4. [vswitch の関連付け] ダイアログボックスで、vSwitch を選択し、[OK] をクリックします。

        この例では、NATVSW が選択されています。

    5. 次の手順を実行して、カスタムルートテーブルにルートを追加します。

      1. [ルートテーブル] ページで、カスタムルートテーブルを見つけて ID をクリックします。

      2. [ルートエントリリスト] > [カスタムルート] を選択し、[ルートエントリの追加] をクリックします。

      3. [ルートの追加] パネルで、パラメーターを設定し、[OK] をクリックします。次の表でパラメーターについて説明します。

        パラメーター

        説明

        [名前]

        ルートの名前を入力します。この例では、VPCNATENTRY が使用されています。

        [宛先 CIDR ブロック]

        宛先 CIDR ブロックを入力します。この例では、172.16.10.137 が使用されています。これは、データセンター内のサーバーの IP アドレスです。

        [ネクストホップタイプ]

        ネクストホップのタイプを選択します。この例では、[転送ルーター] が選択されています。

        [転送ルーター]

        転送ルーターを選択します。この例では、転送ルーターで作成した VPC1 接続が選択されています。

    手順 6: デフォルトの NAT IP アドレスを使用して SNAT エントリと DNAT エントリを作成する

    ECS インスタンスがデータセンターにアクセスできるようにするために、ECS インスタンスの SNAT エントリを作成します。データセンターが ECS インスタンスにアクセスできるようにするために、ECS インスタンスの DNAT エントリを作成します。

    1. NAT ゲートウェイコンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[NAT ゲートウェイ] > VPC NAT ゲートウェイ を選択します。

    3. 上部のナビゲーションバーで、インターネット NAT ゲートウェイを作成するリージョンを選択します。

    4. 次の操作を実行して、SNAT エントリを作成します。

      1. VPC NAT ゲートウェイ ページで、管理する VPC NAT ゲートウェイを見つけて、SNAT の管理 列の [アクション] をクリックします。

      2. SNAT の管理 タブで、SNAT エントリの作成 をクリックします。

      3. SNAT エントリの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。

        パラメーター

        説明

        SNAT エントリ

        VPC、vSwitch、ECS インスタンス、またはカスタム CIDR ブロックの SNAT エントリを作成するかどうかを指定します。この例では、[vswitch を指定] が選択されています。次に、ECS インスタンスが属する vSwitch を [vswitch の選択] ドロップダウンリストから選択します。この例では、VSW1 が選択されています。 [vswitch CIDR ブロック] セクションには、VSW1 の CIDR ブロックが表示されます。

        NAT IP アドレスの選択

        外部プライベートネットワークへのアクセスに使用する NAT IP アドレスを選択します。この例では、デフォルトの NAT IP アドレスが選択されています。

        [エントリ名]

        SNAT エントリの名前を入力します。

    5. [VPC NAT ゲートウェイ] ページに戻り、次の操作を実行して DNAT エントリを作成します。

      1. VPC NAT ゲートウェイ ページで、管理する VPC NAT ゲートウェイを見つけて、DNAT の管理 列の [アクション] をクリックします。

      2. DNAT の管理 タブで、DNAT エントリの作成 をクリックします。

      3. DNAT エントリの作成 ページで、次のパラメーターを設定し、[OK] をクリックします。

        パラメーター

        説明

        NAT IP アドレスの選択

        外部プライベートネットワークからのリクエストを受信するために使用する NAT IP アドレスを選択します。この例では、デフォルトの NAT IP アドレスが選択されています。

        プライベート IP アドレスの選択

        外部ネットワークとの通信に使用するプライベート IP アドレスを指定します。この例では、[ECS または ENI で選択] が選択され、ECS1 のプライベート IP アドレスが選択されています。

        [ポート設定]

        DNAT マッピング方法を選択します。この例では、ポートマッピングが使用されています。 [特定のポート] を選択し、22フロントエンドポート22バックエンドポート に 22、[TCP][プロトコル] を入力します。

        [エントリ名]

        DNAT エントリの名前を入力します。

    手順 7: オンプレミスゲートウェイデバイスにルートを追加する

    上記の手順を完了した後、VPC を指すルートをオンプレミスゲートウェイデバイスに追加する必要があります。

    VPC を指す次のルートをオンプレミスゲートウェイデバイスに追加します。

    説明

    ルートは参照用です。実際のルートは、ゲートウェイデバイスのベンダーによって異なる場合があります。

    ip route 192.168.0.0 255.255.0.0 10.0.0.2

    手順 8: 接続性をテストする

    ECS インスタンスがデータセンターと通信できるかどうかをテストします。

    1. VSW1 の ECS1 にログインします。詳細については、「接続方法の概要」をご参照ください。

    2. Ping データセンター内のサーバーの IP アドレスを実行して、ECS1 がデータセンター内のサーバーにアクセスできるかどうかを確認します。

      この例では、次のコマンドが使用されています。

      ping 172.16.10.137

      エコー応答パケットを受信できる場合、接続は確立されています。

    3. データセンター内のサーバーにログインし、ssh root@NAT IP コマンドを実行します。このコマンドを実行する前に、NAT IP を VPC NAT ゲートウェイに指定されたデフォルトの NAT IP アドレスに置き換えます。次に、ECS1 にログインするために使用されるパスワードを入力して、サーバーが ECS1 にアクセスできるかどうかを確認します。

      この例では、次のコマンドが使用されています。

      ssh 192.168.3.132

      エコー応答パケットを受信できる場合、接続は確立されています。